Cybercriminaliteit is inmiddels een volwassen illegale industrie geworden waar veel geld en kennis in omgaat.
Een redelijk recente trend die deze beweging illustreert? Cybercrime-as-a-service (CaaS), oftewel het aanbieden van cybercrimediensten en -toolkits als lucratief verdienmodel. Een goed voorbeeld van de evolutie van deze industrie is de Russische cyberscene. Die bestaat uit diverse actoren en hackersgroepen die vaak gefaciliteerd (door het leveren van middelen, geldelijke steun of het verzuimen om daders gerechtelijk te vervolgen) worden door de Russische overheid. Het aanvallen van infrastructurele doelen in vijandige landen of hengelen naar gevoelige informatie zijn vaak het hoofddoel.
Zo waren vanuit Rusland opererende hackers bijvoorbeeld verantwoordelijk voor de geruchtmakende en ingrijpende SolarWinds-aanval en cyberaanvallen op Oekraïense energie-installaties, maar ook voor een grote cyberspionagecampagne tegen een grote hoeveelheid Amerikaanse overheidsinstanties en bedrijven. Er zijn ook hackerssyndicaten die om puur economische redenen hun diensten of kwaadaardige software aanbieden aan geïnteresseerde partijen. In dit artikel lees je alles over cybercrime-as-a-service en waarom je hier als moderne organisatie op bedacht moet zijn.
Wat is cybercrime-as-a-service?
Cybercrime-as-a-service is een kwaadaardige en illegale variant op concepten als software-as-a-service (SaaS) en infrastructure-as-a-service (IaaS). Cybercriminelen leveren diensten en software (malware, bots) op maat waarmee hun klanten cyberaanvallen kunnen uitvoeren of gevoelige gegevens kunnen buitmaken.
Een cybercrimineel bepaalt zijn doel en gewenste aanvalsmethode en klopt vervolgens bij een CaaS-leverancier aan voor diensten en/of software die gericht zijn op het uitvoeren van cybercrime. Tegen betaling uiteraard, waardoor er in de krochten van het internet een nieuwe illegaal verdienmodel ontstaat. Er komen nieuwe geldstromen, terwijl verschillende criminele netwerken op een nieuwe manier met elkaar verbonden raken. Je kunt CaaS zien als een kwaadaardige versie van software-as-a-service (en soms ook infrastructure-as-a-service).
Waarom is cybercrime-as-a-service zo gevaarlijk?
Er zijn verschillende redenen waarom cybercrime-as-a-service een bijzonder gevaarlijke ontwikkeling is op het gebied van cybersecurity. Zo zorgt het model bijvoorbeeld voor een ‘democratisering’ van cybercrime. Waar het uitvoeren van een vernuftige cyberaanval nog niet zo lang geleden veel IT-kennis vereiste, hebben cyberaanvallers inmiddels geen bijzondere digitale vaardigheden meer nodig om een cyberaanval uit te voeren. Ze besteden het werk uit aan experts of kopen kant-en-klare pakketten waarmee het verspreiden van malware of opzetten van phishingcampagnes een koud kunstje is.
Een andere reden tot zorg is de relatief lage prijsdrempel. Voor enkele honderden dollars of euro’s huur je al een botnet waarmee je een ddos-aanval kunt plegen op een middelgrote tot grote organisatie. En dit zijn meestal ook nog services met een afzenderadres dat geen link legt naar de crimineel die de botnets aanbiedt. Voor meer geavanceerde aanvalssoftware of volledige criminele ontzorging betaal je wat meer, maar de potentiële buit is vaak zo aanlokkelijk dat veel aanvallers bereid zijn om de investering te doen.
Wat je ook ziet is dat de aanbieders van CaaS vaak legale diensten inzetten voor illegale doeleinden. Denk bijvoorbeeld aan anonimiseringstools (Tor Project) en encryptiesoftware, maar ook virtuele betaalmiddelen (bij een ransomware-aanval wordt bijna altijd gevraagd om betaling in bitcoins). Met die legale hulpmiddelen wissen cybercriminelen hun digitale sporen uit. Omdat cybercriminelen vaak vanaf grote afstand en buiten het rechtsgebied van het land van het slachtoffer opereren, zijn ze lastig te traceren en vervolgen.
Welke CaaS-vormen zijn er?
Cybercrime is een gevaar dat vele verschijningsvormen aanneemt. Niet zo verbazingwekkend dat cybercriminelen hier gretig op inspelen en dus ook verschillende varianten van cybercrime-as-a-service aanbieden. We zetten de belangrijkste op een rij.
Malware
Het is niet moeilijk om op de zwarte markt verschillende soorten malware te kopen. Denk bijvoorbeeld aan:
- Spyware en spyware-diensten die gericht zijn op het heimelijk monitoren van systemen en stelen van gevoelige informatie.
- Ransomware die helpt om bestanden, apparaten en systemen te versleutelen. Deblokkeren lukt alleen na het betalen van losgeld.
- Trojaanse paarden die stiekem systemen en netwerken binnendringen en daar schade aanrichten of de aanvaller in staat stellen om data te stelen.
Botnets
Cybercrime-as-a-service voorziet ook in het verhuren van botnets. Dit zijn geïnfecteerde computers die de aanvaller op afstand kan besturen. Door steeds meer computers te infecteren of onder controle te krijgen, kan de aanvaller grootschalige DDoS-aanvallen uitvoeren die het systeem van een slachtoffer plat kunnen leggen. Met botnets kun je bovendien massale spam- of phishingcampagnes opzetten en uitvoeren. Een redelijk basale botnet is al voor enkele honderden euro’s te koop op het dark web.
Hacking- en attack-as-a-service
Bij hacking- en attack-as-a-service betaalt een aanvaller die niet beschikt over diepgaande cyberkennis een gespecialiseerde hacker of een groep cybercriminelen om voor hem aanvallen of hacks uit te voeren. De ingehuurde hackers of cybercriminelen leveren de software en voeren ook het operationele deel van de aanval uit. De beloning is meestal een riante vergoeding of een deel van de buit die de cyberaanval opbrengt.
Exploits uitbuiten
Nieuwe of bestaande software heeft geregeld te maken met zogenoemde exploits. Dit zijn bugs of kwetsbaarheden, bijvoorbeeld in de code van een stuk software. Sommige CaaS-aanbieders zijn gespecialiseerd in het opsporen en uitbuiten van deze zwakke plekken en graag bereid om betalende klanten mee te laten profiteren. Dat doen ze bijvoorbeeld door het aanbieden van speciale exploit-toolkits als BlackHole, Phoenix en CritX.
Jezelf wapenen tegen CaaS
Hoewel cybercrime-as-a-service een veelkoppig monster is, zijn er gelukkig wel manieren om je weerbaarheid ertegen te vergroten. Het begint met detectie. Met een security operations center (SOC) en network security monitoring (NSM) kun je jouw netwerk bijvoorbeeld continu monitoren en verdacht verkeer in een vroeg stadium signaleren. Met threat hunting (het gebruiken van forensische technieken voor het vinden van besmette assets en ransomware) pak je ze vervolgens effectief aan.
Maar alleen de juiste detectie- en antivirustools zijn niet genoeg. Kennis over de dreigingen die voortkomen uit CaaS is minstens zo belangrijk. Zo’n krachtige kennisbasis leg je met behulp van de juiste cybersecuritytrainingen. Die vind je bij Master IT. De cyberveiligheid binnen je organisatie verbeteren door het implementeren, ondersteunen en bewaken van VPN’s? Je kunt het na het volgen van de training ‘Implementing Secure Solutions with Virtual Private Networks’. Of leer hoe je bedreigingen kunt onderzoeken en verhelpen met de training ‘Microsoft Azure Sentinel, Azure Defender en Microsoft 365 Defender’. De populaire training ‘CEH Certified Ethical Hacker v12’ leert je om aanvalsstrategieën te begrijpen en de vaardigheden van kwaadwillende hackers na te bootsen.
Meer informatie
Wil je meer weten over de manieren waarop jij je kunt wapenen tegen cybercrime-as-a-service? En wil je een van onze cybersecuritytrainingen volgen? Neem dan gerust contact op met Master IT. Bel ons op 06 48 94 37 60/040 23 23 390, stuur een e-mail naar info@master-it.nl of vul het contactformulier op onze website in.